Какие есть способы управления пользователями в рабочей группе?

Question

[choodo]

Ситуация: 1 Windows Server 2008, 10 рабочих станций Windows 7 - Windows 10. Службы AD не настроены, станции и сервер в рабочей группе. Поднятие домена не планируется.

Существует ли какое-либо решение быстрого управления пользователями в рабочей группе (здесь, как известно, чтобы все работало, нужно, чтобы было одновременное присутствие всех пользователей на всех машинах рабочей группы), кроме AD и альтернатив в виде nix+samba?

Upd.:
-Какого вида управление ожидается? Управление чем именно?
-пользователями и их правами на расшаренные директории на рабочих станциях в сети. Скорее всего это связка скриптов/командлетов + управление через WMI

Upd. 2:
Пользователи не могут менять свои пароли.

Upd. 3:
Я НЕ являюсь админом этой сети. Админа из моего офиса постоянно дергают тамошние молодые сотрудницы для решения мелких проблем, в основном связанных с доступом к шарам в сети.

Comments

[landergate]

Какого вида управление ожидается? Управление чем именно?

[choodo]

landergate: пользователями и их правами на расшаренные директории на рабочих станциях в сети.

[Алексей]

choodo: Каким волшебным образом вы хотите управлять паролями в корпоративной сети (централизованная синхронизация, 10 машин * 10 пользователей = 100 пользователей с разными SID)? Если всем 1234 то какой толк от 10 пользователей, одного User будет достаточно.

Answer 1

[res2001]

Все существующие решения вы уже перечислили.
Тут либо все работают под одним пользователем на всех компах с одним паролем, либо постоянные проблемы с синхронизацией пользователей/паролей.
Минимизировать проблемы можно только заведя одинаковый админский доступ на всех компах, разрешив удаленный доступ, удаленный wmi, удаленное управление фаерволом и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy=0 для доступа к админским шарам по сети.
После этого практически все можно сделать удаленно, не бегая по компам. Но когда юзер сменит у себя пароль - проблемы с подключением к серверам тут же возникнут. Как вариант запретить смену пароля пользователем, но это еще хуже.
Еще один вариант - для доступа к расшаренным ресурсам сервера использовать учетку, заведенную в "Диспетчере учетных данных". Тогда пользователь будет заходить на сервер не со своей учеткой, а с указанной в диспетчере. Правда после смены пароля пользователя сохраненные пароли в диспетчере слетают (видимо они шифруются на пароле пользователя), поэтому их надо будет перезаводить. Но это уже можно сделать удаленно, т.к. вы, как админ, будете знать этот пароль и есть утилита ком.строки для управления этим - cmdkey.

Answer 2

[Евгений Хлебников]

опишите, пожалуйста, как вы видите механизм синхронизации пользовательских данных, в случае смены пользователем своего пароля на своей основной станции.
И как вы планируете решать проблемы с доступом пользователя на расшаренные папки в таком случае.

Это в случае, если вы все таки реализуете вашу хитроумную систему управления пользователями через скрипты\удалённое управление.

Comments

[choodo]

Upd. 2:
Пользователи не могут менять свои пароли.

[Евгений Хлебников]

choodo: как вы планируете это реализовать?
ПО умолчанию пользователи вне домена могут менять свои пароли.

[choodo]

yellowmew:

[Евгений Хлебников]

choodo: то есть вы планируете пройтись по всем 10-ти машинам?
Зачем вам какая-то система, если больше половины работы вы все равно будете делать ногами?
А чтобы не делать ногами - используются службы каталогов, которые вы не хотите использовать, видимо, по религиозным убеждениям.

В общем и целом вы пытаетесь писать против ветра и в случае любой реализации вашей системы, вы будете много работы все так же делать ногами, или же чего-то не продумаете и огребете кучу проблем.

[choodo]

yellowmew: вы в одном комментарии успели:
1. не разобравшись, наговорить ерунды
2. обвинить в неких религиозных убеждениях
3. обвинить в неправильном мочеиспускании
4. высказать некие угрозы в мой адрес по поводу неких проблем.

Не надо так.

[Евгений Хлебников]

choodo: вы же в комментарии так и не ответили почему я не прав, а только обвинили во всех грехах.Будьте конструктивны. Вышесказанное мной - мнение технического специалиста, который, в том числе, поуправлял и рабочей группой в своё время.

[choodo]

yellowmew: ваше мнение пестрит оценочными суждениями.
В описанном проблемном офисе нет и не будет понимания о необходимости дополнительных затрат на IT. В силу определенных обстоятельств нам приходится делить с ними одно крыло здания. Наш админ иногда отвлекается на их мелкие проблемы. В результате что-то не успевает или косячит у себя. По этой причине у нас сменилось уже 3 админа и в "межадминье" просят помочь меня. Отказать же я им не могу в силу очень личных причин.
Во всем остальном с технической точки зрения вы, безусловно, правы.